Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: ersguterjunge am 21.03.08, 16:33:52
-
Moin,
jetzt bin ich auch ratlos, an unserem Laptop (http://www.computerhilfen.de/fachbegriffe-l-Laptop.html) ist grade aufgefallen dass heute jemand auf zoozle.net war und dort XXX Videos angeklickt wurden, hier war es aber keiner!!
Hier ein Logfile von Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:55:59, on 21.03.2008
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Vista (WinNT 6.00.1904)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\ehome\ehtray.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Michaela und Andreas\Desktop\HiJackThis202(2).exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91648FD-BA98-4D2A-872D-624D05D1CE19}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FSCLBaseUpdaterService - Unknown owner - C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Monitor (vsmon) - Check Point Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
Vielleicht sieht ja unser alles seher Sir Reklov oder jemand anders was ;D ;D
-
m,E. nichts auffälliges ...
http://www.hijackthis.de/ <<< LOG mal da rein und selber schauen ???
-
Hab dass Logfile schon selber durchgeguckt,was wirklich auffälliges ist mir nicht aufgefallen.
Aber irgendwie muss ja die Seite aufgerufen wurden sein.
-
und dort XXX Videos angeklickt wurden, hier war es aber keiner!!
Woher weißt Du das ?
2. Woher sind die Einträge ? Chronik ?
Empfehle trotzdem ...:
zuerst :
Plattenbereinigung machen zum löschen aller temporären Dateien
dann :
HijackThis , im Normalmodus !
Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Log oder Zusammenfassung ggf hier posten.
-------------------------------------------------------------------------------------------------------------
Im Normalmodus sind etliche Dateien gesperrt .
Darum : Virenscan unbedingt immer im abgesicherten Modus !
Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
Virenscan machen & ggf Adwarscan mit Spybot S&D oder Adware-7
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .
-
Richtig die Seiten wurden in der Chronik von Firefox (http://www.computerhilfen.de/download-8451109180319399.html) gefunden. Virenscan wird gleich auch noch gemacht.
-
WER kann denn ohne dein Wissen den FF starten ?
In Verwaltung , Ereignisanzeige mal nach Uhrzeiten sehen ... ??
-
Verwaltung ?? Ereignisanzeige ?? Wie komm ich bei Vista dahin ?
-
tipp mal verwaltung unten in die Zeile ??
Habs nicht im Kopf , und Lappi ist down ...
-
Okay bin da jetzt drauf was soll ich da nachgucken =?=?
-
Z.B. die Loginzeiten ? Schau mal alles in Ruhe durch ...
Das übt ;D :D ::)
-
Hier stehen auch Druckauftragsfehler von Heute obwohl keiner versucht hat zu drucken ::)
-
Und Du glaubst ernsthaft , der PC LÜGT ???
Oder hast Du ein falsches Datum drin , und das war gestern ??
Geh die Einträge weiter durch .
Hast Du Norton drauf ? Das hat auch gute Protokolle .
Ansonsten kannst Du evtl auch im Router nachsehen ...
Arbeite dich ein , ich kann das auch nur so aus der Erinnerung sagen ....
-
Nein natürlich lügt der Pc nicht ;-)
Datum ist auch korrekt und da an dem Lap kein Drucker drann ist wurde auch noch nicht versucht zu drucken.
Norton hab ich nicht drauf.
Der Router ist nicht dass Wahre und gibt keine Infos :'(
Dass es ein Hacker ist glaubich auch weniger.
-
WLAN gesichert ? Freigaben nur Dateiweise gemacht ..??
Na ja , kann dir jetzt nicht mehr weiterhelfen , keine Ideen mehr .
Ausserdem geht es jetzt zum Stammtisch .. Sprüche klopfen .. :o ::) 8)
Adios : HCK
-
Noch ist der Wlan (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Router nicht da,deswegen läufts über Lan, (http://www.computerhilfen.de/fachbegriffe-l-LAN.html) sind keine Dateien freigegeben.
Naja trotzdem danke!!
Weiß noch jemand anders was `?
-
Keiner mehr ne Idee ??
Auch nicht Sir Reklov ???
-
Du hast doch den ZoneAlarm Müll drauf
schreibt der nicht auch logs?
-
idee?!
hast du vllt iwie so ne art smileycenter drauf.
diese teile sind manchmal voll von malware und dann fängt dein pc an zu spinnen und seiten voller smileys auszudrucken, auf der letzten seite kommt dann meistens so n blatt wo iwie hello oder so ddraufsteht.
das ist ganz schön unheinlich^^
L
-
@Knut hab in Zone Müll geguckt, stand nix hilfreiches.
@mastaluis es ist ja nichtmal ein Drucker angeschlossen, ist auch nix ohne mein Wissen installiert wurden!
-
Zone Alarm ist zumindest gut ,um die Logs auszulesen.Dafür taugen die sogar was...mach einen Vergleich mit einer "whois" Abfrage...
Wie bist du drauf gekommen ,das jemand anderes Zugriff haben könnte ?
Wo hast du entsprechende Hinweise denn gefunden ?
zootzle ist doch eine Suchmaschine für geklaute Software,oder ?
Noch jede Menge Symantec reste auf der Kiste....
Was willst du mit dem Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) ?
Du wirst kaum Mitglied im Firebird Projekt sein ,oder ?
Wer ist "Michaela " ? Ein Bild ...ich will ein Bild...
Sir Reklov
-
Die Hinweise haben wir in der Chronik von Firefox (http://www.computerhilfen.de/download-8451109180319399.html) gefunden.
Da stand zoozle drin,saugstube stand auch drin,obwohl wir gar nicht auf den Seiten waren!!
Die Symantec Reste hab ich beseitigt.
Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) ?? Mitglied sind wir auf keinen Fall, könnte es Vorinstalliert gewesen sein ??
"Michaela ist meine Mutter"
muss denen ein eingeschränktes Konto machen.
-
..auch wenn das jetzt nicht die Lösung deines Problems ist..aber entweder lügt jemand in deinem Umfeld oder der Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) ist gehackt..nur eine Meinung..
-
Oder jemand klickt schneller als sein Schatten auf alles was nicht bei drei auf dem Baum ist...
Ich halte Mütter in dieser Kategorie als besonders anfällig da ahnungslos und technisch ungeeignet...
Was gibt das Log von Zone alarm her ?
Was zeigen die temporären Internetdateien ?
Schau dir sein Hijacklog an ,bei O23 sollte irgendwo der Firebirdserverdienst kommen..lösch ihn halt direkt in der Kiste...folge dem Pfad...
Wozu der UPnppsUP Service ?
Ist meist für Mütter die eine Heimarbeit suchen ...
Was heißt "muß eingeschränkt machen " ?
Soll das bedeuten die surven noch mit Adminrechten ?
Dann allerdings mußt du dich ja auch nicht wundern....
Ich tippe viel eher auf "Unwissenheit" und Ahnungslosigkeit was ich eigentlich geklickt habe...vielleicht auch ein wenig schämen..
Aber einen Schädling würde ich erst mal ausschließen wollen....immer vorrausgesetzt es ist bereits ein "eingeschränktes Konto"
Sir Reklov
-
..und was ist mit der fuzzy Algorithmus Prüfung, den würde ich fixen..
und macht mich jetzt bitte nicht dumm an deswegen ;D :'(
..ist ja nicht meine Schuld.
-
@Sir Reklov
Meiner Mutter trichter ich immer ein dass sie nicht auf Sachen klicken soll,wo sie nix von weiß,dass macht sie auch nicht! ;)
UPnppsUP Service muss auch mit vorinstalliert gewesen sein!
ja die haben noch Adminrechte,werde es aber ändern,hatte im moment keine Zeit dazu!
-
Soo dass auf die Seite ausversehen geklickt wurde schließe ich zu 90% aus, es wird ein hacker sein!
Auf jedenfall war eben einer in meinem rechner!!
Woran hab ich es gemerkt ??
Ich hatte folgende Sachen offen:
windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Media player und Icq
Bei ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) wollte ich einem zurück schreiben (senden mit der eingabetaste) hab sie wie immer gedrückt und es klappte nicht,auch dass manuelle klicken auf senden klappte nicht,er zeigte mir auch an dass einer mir eine Nachricht bei icq (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) geschrieben hat,ich hab drauf geklickt und dass nachrichtenfenster war leer. Ich ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) geschlossen.
Nach 10 sek. wo kein stressiger Prozess mehr offen war, blieb der PC komplett hängen (NEIN kein Temp Problem)!!
Ich sofort den lan (http://www.computerhilfen.de/fachbegriffe-l-LAN.html) stecker rausgemacht danach funktionierte es wieder.
Ein weiteres Problem was jetzt erst ist, mein Firefox (http://www.computerhilfen.de/download-8451109180319399.html) zeigt manche Sachen nicht mehr an,zb bei CH den button zum Senden von Beiträgen.
Wie kann ich mich vor weiteren Hack atacken schützen ???
Meinen Rechner mach ich jetzt eh erst mal Platt!!!
-
Hier noch Comodo Logfile:
http://www.file-upload.net/download-744860/log-comodo.txt.html
-
was soll denn dieses "gopher prefix" ???
hab danach gegooglet und wurde immer empfohlen zu löschen.
folgendes beispiel steht zwar nicht unter 023, sondern 013 und auch der fehler ist nicht grad der gleiche, aber vielleicht hilft es:
hierrrrrr (http://board.raidrush.ws/archive/t-191910.html)
-
...ähnlicher Fehler ?
steht zwar nicht da wo er sonst steht,aber egal..
ist auch nicht das gleiche Betriebssystem,aber auch egal...
Mann,mann...
Dein Link zeigt die gleiche Klasse von Nullen wie sie auch vermehrt hier auftreten...
Maul auf und abgeschwätzt... ::)
@ersguterjunge
Ich muß mich schon wundern...
Hier Tips geben und die eigene Kiste mit Adminrechten surven.. :o
Da ist kein böser Bube bei dir...
Software ist mistig und du machst Bedienfehler...
Sir Reklov
-
Sorry aber an dem Lap sitze ich nicht oft ;), mein Pc läuft auch nicht mit admin rechten.
Hab mir grad nochmal das Log vom Laptop (http://www.computerhilfen.de/fachbegriffe-l-Laptop.html) angeguckt,der Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) wurde bei Magix music Manager mit installiert.
-
Mann,mann...
Dein Link zeigt die gleiche Klasse von Nullen wie sie auch vermehrt hier auftreten...
du bist einfach nicht in der lage was zu schreiben, ohne anstössigem inhalt.
Maul auf und abgeschwätzt... Roll Eyes
sollte dir zu denken geben, denn deine aussagen haben auch zu nichts geführt.
im übrigen versuchen die leute zu helfen, auch wenns mal nicht richtig ist und werden dann von personen wie dir angegriffen, sowas sollte unterbunden werden.
kein wunder das du hier als gast unterwegs bist.
wenn du doch so toll bist, dann mach doch deine eigene computerhilfe auf.
-
@sir, gewöhn dir doch mal einen gefälligeren Ton an. Vielleicht weniger "cool" aber dafür netter. Ich hab auch keinen Bock deine Beiträge einzeln auseinander zu nehmen. Manches ist grenzwertig, manches beleidigend. Sprich doch einfach normal ohne gleich auf die Leute drauf zu kloppen....
-
Danke Dr.
-
Die direkte Art ist die meine...
..und ich kuschel mit euch nicht..punkt !!
Ich kann nunmal nicht verstehen ,daß manche ohne verstanden zu haben um was es eigentlich geht, posten müssen...
Ich mag dem einzelnen Poster kein Honig ums Maul schmieren,aber ich poste auch keinen sachlich falschen Murgs...oder anderes "halbgares "Zeug...
Sir Reklov
-
Die direkte Art ist die meine...
..und ich kuschel mit euch nicht..punkt !!
Ich kann nunmal nicht verstehen ,daß manche ohne verstanden zu haben um was es eigentlich geht, posten müssen...
Man kann deutlichst das "ich schreib mal was" erkennen.
...und "heinzis" beitrag ist ganz einfach untere Schublade und höchst grenzwertig...
Ich mag dem einzelnen Poster kein Honig ums Maul schmieren,aber ich poste auch keinen sachlich falschen Murgs...oder anderes "halbgares "Zeug...
Sir Reklov
Wenn Du obigen Platz mit "fachlichen Antworten" gefüllt hättest , statt MURGS ( heisst Murks ) zu schreiben , wären wir wohl dem Täter auf der Spur .
Ich finde die Angaben auch sehr vage , es wäre Zeit für einen Screenshot ...
-
Es verlangt ja keiner zu kuschenln, normeler Ton wäre schon genug. Ich muss wohl doch wieder einzel-Edits machen...
-
hi.
ich Habe von oben bis unten gelesen...
Mein Tipp: Nie ohne eine Router-Firewall(Wan to Lan (http://www.computerhilfen.de/fachbegriffe-l-LAN.html) filter) ins Netz gehen. Am besten, so dass du 0 Ports offen hast. Das hat eventuell auch Nachteile, wenn man z.b. Warcraft im Battle.net hosten will(das geht dann nicht). Ich wohne im Haushalt mit mehreren Rechnern und einer Router-Firewall. Die Windows-Firewall und automatische Updates sind deaktiviert. Ich habe aber noch ein Virenscanner, falls ich was lade.
Außerdem bin ich immer im Admin und habe einen Lokalen FTP-Server.
Vielleicht habe ich nur soviel Glück. Aber ich glaube eher die Router-Firewall ist so wahnsinnig effektiv, da sie bei uns kein Port offen hat.
-
Mach jetzt hier auch zu.